1. Home
  2. Sicherheitsüberprüfungen und...
DataAgenda

Sicherheitsüberprüfungen und Datenschutz

Sicherheitsüberprüfung

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) berichtet regelmäßig auch in seinen Tätigkeitsberichten über die datenschutzrechtlichen Anforderungen in Zusammenhang mit Sicherheitsüberprüfungen (bspw. 30. Tätigkeitsbericht (S. 72 f.) zum Thema Spannungsverhältnis zwischen dem SÜG und der DS-GVO *).
Das Sicherheitsüberprüfungsrecht unterliegt der besonderen Herausforderung, die unterschiedlichen Interessen des Staates und des Einzelnen möglichst ins Gleichgewicht zu bringen (vgl. BfDI-Broschüre: Datenschutz im Sicherheitsüberprüfungsrecht).

Den Sicherheitsinteressen des Staates steht hierbei das Recht auf informationelle Selbstbestimmung des Einzelnen gegenüber, der im Rahmen der Sicherheitsüberprüfung einige auch höchstpersönliche Daten preisgeben muss.
Durch eine Sicherheitsüberprüfung soll im Vorfeld verhindert werden, dass Personen zum Umgang mit Verschlusssachen ermächtigt werden oder Zugang zu sicherheitsempfindlichen Stellen erhalten, bei denen ein Sicherheitsrisiko besteht. Im Sicherheitsüberprüfungsverfahren werden hierzu viele teils höchstpersönliche Daten erhoben und verarbeitet. Daher sieht das Gesetz vor, dass eine Sicherheitsüberprüfung nicht ohne die ausdrückliche Zustimmung der betroffenen und mitbetroffenen Person (z.B. Ehe- oder Lebenspartner) erfolgen darf.

Die gesetzliche Grundlage des Geheim- und Sabotageschutzes bildet das Sicherheitsüberprüfungsgesetz (SÜG). Hier finden sich auch spezielle datenschutzrechtliche Regelungen für den Umgang mit den personenbezogenen Daten der sicherheitsüberprüften Personen. Insbesondere findet die Datenschutz-Grundverordnung keine Anwendung. Aus dem für Polizei und Justiz maßgeblichen dritten Teil des Bundesdatenschutzgesetzes gelten nur einzelne Vorschriften.  

Der BfDI führt auch Beratungs- und Kontrollbesuch zur Überprüfung der datenschutzrechtlichen Vorgaben nach dem Sicherheitsüberprüfungsgesetz durch. Die vom BfDI veröffentlichten Dokumentationen zum Thema können Verantwortlichen empfohlen werden, um ein Gespür dafür zu erhalten, wie ein solcher „Besuch“ abläuft (Kontrolle eines Unternehmens zum Sicherheitsüberprüfungsgesetz im August 2022).

Selbstverständlich ist die Durchführung einer Sicherheitsüberprüfung auch aus der Perspektive der betroffenen Person ein unbekanntes Thema, mit dem bpw. Bewerbende konfrontiert sein können. Insbesondere für diesen Personenkreis hat der der BfDI viele der sich stellenden Fragen in einem FAQ-Katalog aufgearbeitet. Generelle Hinweise zu den datenschutzrechtlichen Anforderungen beim Verarbeiten personenbezogener Daten aus der Sicherheitsüberprüfung in Dateien finden Interessierte hier.

Bei einer anstehenden Evaluierung des SÜG regt der BfDI die Beantwortung folgenden Fragen mittels gesetzlicher Regelung an:

1. Haben Datenschutzbeauftragte eines Unternehmens das Recht, die dort geführten Sicherheitsakten einzusehen?

2. Wer ist der richtige Adressat einer Beanstandung im nichtöffentlichen Bereich?

3. Welche Maßnahmen sind durch das Bundesamt für Verfassungsschutz (BfV) bei einer Sicherheitsüberprüfung auf Antrag ausländischer Dienststellen nach § 33 SÜG durchzuführen?

4. Auf welcher Grundlage kann die Datenübermittlung im Rahmen des in der Wirtschaft häufig auftretenden Besuchskontrollverfahrens erfolgen?
Ist hier eine Einwilligung seitens der Betroffenen zur Datenweitergabe möglich?

Die abschließende Empfehlung des BfDI für diese Thematik ist wie folgt:
Ich empfehle, das Einsichtsrecht der betrieblichen Datenschutzbeauftragten in die im Unternehmen geführten Sicherheitsakten, den Adressaten einer Beanstandung im nichtöffentlichen Bereich, den Umfang der Maßnahmen bei Sicherheitsüberprüfungen gem. § 33 SÜG sowie die Datenübermittlung im sogenannten Besuchskontrollverfahren im SÜG zu regeln.

*Neben dem Auskunftsrecht kann sich jede Person an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) wenden, wenn sie der Ansicht ist, bei der Verarbeitung ihrer personenbezogenen Daten nach dem Sicherheitsüberprüfungsgesetz durch öffentliche oder nichtöffentliche Stellen in ihren Rechten verletzt worden zu sein (§ 36a SÜG). Der BfDI prüft ausschließlich Verstöße gegen die Datenschutzbestimmungen des Sicherheitsüberprüfungsgesetzes. Geprüft und bewertet wird zum Beispiel, ob personenbezogene Daten im Sicherheitsüberprüfungsverfahren richtig erhoben, übermittelt, gespeichert, korrigiert oder gelöscht wurden. Die Prüfung und Bewertung, insbesondere von sicherheitserheblichen Erkenntnissen oder die Feststellung eines Verfahrenshindernisses, unterliegen hingegen nicht der Prüfkompetenz des BfDI.

(Foto: LALAKA – stock.adobe.com)





Letztes Update:13.08.23

Verwandte Produkte

Das könnte Sie auch interessieren

  • LinkedIn-Vernetzung ist keine Werbeeinwilligung

    LinkedIn-Verrnetzung begründet keine Einwilligung für Werbe‑E‑Mails

    Das AG Düsseldorf hat mit Urteil vom 20.11.2025 (Az. 23 C 120/25) klargestellt, dass berufliche Vernetzung in sozialen Netzwerken keine Einwilligung für den Versand werblicher E-Mails begründet. Hintergrund war ein Fall, in dem ein IT-Dienstleister zwei Werbe-E-Mails an eine GmbH sandte, die lediglich über LinkedIn vernetzt war, ohne dass eine ausdrückliche Zustimmung vorlag. LinkedIn-Kontakte ≠ Einwilligung für

    Mehr erfahren
  • Keine Vergütung für verstecktes KI-Gutachten

    Vergütung für nicht deklariertes „KI-Gutachten“ kann verweigert werden

    Das Landgericht Darmstadt hat in einem Beschluss vom November 2025 (19 O 527/16) klargestellt, dass eine erhebliche, nicht gegenüber dem Gericht offengelegte Verwendung von Künstlicher Intelligenz (KI) bei der Erstellung eines gerichtlichen Sachverständigengutachtens zur vollständigen Versagung der Vergütung führen kann. Damit stärkt das Gericht die Anforderungen an Transparenz, persönliche Leistungspflicht und Nachvollziehbarkeit bei Gutachten, die im Rahmen zivilprozessualer

    Mehr erfahren
  • Dateiablagen als Quelle von Datenpannen

    Gemeinsame Dateiablagen als datenschutzrechtliches Risiko

    In der Aktuellen Kurz-Information 65 weist der Bayerische Landesbeauftragte für den Datenschutz auf die erhebliche Gefahr von Datenpannen durch gemeinsam genutzte Dateiablagen hin. Betroffen sind sowohl klassische Netzlaufwerke als auch moderne Kollaborationsplattformen wie Microsoft SharePoint. Diese Systeme dienen zwar der effizienten Zusammenarbeit, können jedoch bei unzureichender Konfiguration und Organisation zu unbeabsichtigten Offenlegungen personenbezogener Daten führen.

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner